Obecnie toczy się ożywiona dyskusja w zakresie zapewnienia cyberbezpieczeństwa dla powstających sieci 5G w całym świecie, w tym oczywiście w Polsce i UE. Polska jest w trakcie tworzenia rozwiązań prawnych w zakresie wymagań bezpieczeństwa dotyczących sieci nowej generacji. Niedawno została przedstawiona kolejna wersja z dnia 29 lipca 2020 r. projektu ustawy Prawo komunikacji elektronicznej („Projekt”). Warto więc przedstawić kilka uwag co do modelu bezpieczeństwa, którego istotnym składnikiem powinna być certyfikacja krytycznych składników infrastruktury telekomunikacyjnej.

Przedsiębiorca komunikacji elektronicznej jest zobowiązany przeprowadzać systematyczną ocenę ryzyka wystąpienia sytuacji szczególnego zagrożenia (art. 39 ust. 2 pkt 1 Projektu) oraz podejmować środki techniczne i organizacyjne zapewniające poziom bezpieczeństwa adekwatny do poziomu zidentyfikowanego ryzyka (art. 39 ust. 2 pkt 2 Projektu). W Projekcie zapewniony jest mechanizm weryfikacji przez Prezesa UKE realizacji środków technicznych i organizacyjnych o których mowa w art. 39 ust. 2 pkt 2 Projektu, w tym możliwość przeprowadzenia audytu. Ponadto Prezes UKE może nałożyć na przedsiębiorcę dodatkowe środki techniczne i organizacyjne. Minister właściwy do spraw informatyzacji powinien, w drodze rozporządzenia, określić dla danego rodzaju działalności wykonywanej przez przedsiębiorcę minimalny zakres środków wcześniej wskazanych (art. 39 ust. 4 Projektu; „rozporządzenie”).

Powstaje pytanie co powinno zawierać to rozporządzenie. Z pewnością powinno realizować określony model bezpieczeństwa. Opierając się na doświadczeniach także z innych krajów, model ten powinien przewidywać działania, które powinien podjąć przedsiębiorca, a w szczególności:
1) zapewnić certyfikację krytycznych składników infrastruktury;
2) posiadać deklaracje wiarygodności od producentów i dostawców infrastruktury;
3) zapewnić integralność krytycznych składników infrastruktury;
4) prowadzić monitoring bezpieczeństwa;
5) zatrudniać tylko przeszkolonych specjalistów w obszarach związanych z bezpieczeństwem;
6) stosować strategię, która nie powoduje uzależnienia się od jednego producenta poszczególnych elementów sieci telekomunikacyjnej.